Certificate Master RBAC

Wenn Benutzer auf SCEPman Certificate Master zugreifen, bestimmt ihre Rolle die Aktionen, die sie ausführen können, und die Zertifikate, die sie sehen können. Die Rollen werden über die Enterprise Application SCEPman-CertMaster in Microsoft Entra ID (Azure AD) bestimmt. Wenn Sie SCEPman vor Version 2.5 installiert haben, müssen Sie das CMDlet Complete-SCEPmanInstallation aus dem SCEPman PS Module erneut ausführen, um die Rollen im Microsoft Entra Portal zu sehen. Die folgenden Rollen sind verfügbar:

Verfügbare Rollen

• Admin.Full: Mitglieder dieser Rolle können in SCEPman Certificate Master alles tun. Wenn zukünftige Versionen von SCEPman Certificate Master neue Funktionen hinzufügen, haben Mitglieder dieser Rolle Zugriff auf diese Funktionen.

• Manage.All: Mitglieder dieser Rolle können alle Zertifikate sehen und widerrufen. Dazu gehören Zertifikate in der Certificate Master-Datenbank sowie Zertifikate, die über Intune ausgestellt wurden.

• Manage.All.Read: Mitglieder können zwar alle Zertifikate sehen, sie aber nicht widerrufen.

• Manage.Intune: Mitglieder können über Intune ausgestellte Zertifikate sehen und widerrufen.

• Manage.Intune.Read: Mitglieder können über Intune ausgestellte Zertifikate sehen, sie aber nicht widerrufen.

• Manage.Storage: Mitglieder können Zertifikate in der Certificate Master-Datenbank sehen und widerrufen.

• Manage.Storage.Read: Mitglieder können Zertifikate in der Certificate Master-Datenbank sehen, sie aber nicht widerrufen.

• Request.All: Mitglieder können alle Arten von Zertifikaten anfordern. Dazu gehört das Einreichen von CSR-Anfragen, die beliebiger Art sein können. Wenn Benutzer CSR-Anfragen einreichen müssen, ist diese Rolle erforderlich.

• Request.Client: Anfragen sind auf Clientzertifikate beschränkt, d. h. manuell erstellte Gerätezertifikate. Sie verfügen über die Client Authentication Extended Key Usage (EKU) und einen anpassbaren Betreff.

• Request.CodeSigning: Anfragen können nur für Code-Signing-Zertifikate gestellt werden.

• Request.Server: Mitglieder können nur Serverzertifikate anfordern. Sie verfügen über die Server Authentication EKU.

• Request.SubCa: Mitglieder können Zertifikate für untergeordnete CAs anfordern. Die Extended Key Usage beschränkt diese CAs jedoch darauf, nur Server Authentication-Zertifikate auszustellen. Dadurch können sie für TLS-Interception verwendet werden, wie sie in Firewalls zum Einsatz kommt, jedoch nicht für andere Zwecke. Dies ist eine Sicherheitsfunktion. Wenn Sie eine untergeordnete CA für andere Zwecke benötigen, müssen Sie eine CSR erstellen und diese beim Certificate Master einreichen, wofür die Request.All Rolle erforderlich ist.

• Request.User: Mitglieder können nur Benutzerzertifikate anfordern. Sie verfügen über die Client Authentication EKU und einen vom Anforderer gewählten UPN. Ab SCEPman 2.6 ist auch die Smart Card Logon EKU möglich. Beachten Sie, dass jemand mit dieser Rolle Zertifikate für andere Benutzer anfordern kann. Wenn Sie die Zertifikatsbasierte Authentifizierung in AD oder AAD aktiviert und die SCEPman CA in AD oder AAD als für diesen Zweck vertrauenswürdig hinzugefügt haben, kann dies verwendet werden, um sich als andere Benutzer auszugeben.

Rollenzuweisung

1

Navigieren Sie zu SCEPman-CertMaster

Azure > Enterprise Applications > Filter löschen > SCEPman-CertMaster

2

Einen Benutzer/eine Gruppe zuweisen

Navigieren Sie zu Verwalten > Benutzer und Gruppen und wählen Sie die gewünschten Administratoren und ihre Rolle aus. Drücken Sie auf Zuweisen, sobald Administratoren und Rollen ausgewählt wurden.

3

Den Cache Ihres Webbrowsers löschen (optional)

In einigen Fällen können die Berechtigungen eines Administrators auch nach einer Änderung noch gleich aussehen. Alle Certificate Master-Cookies sollten gelöscht werden, um dieses Problem zu umgehen.